Cómo proteger tus contraseñas en Windows y evitar que sean fácilmente hackeadas

Tener políticas de contraseñas complejas y exigir que los usuarios las utilicen es inútil si autenticas y almacenar localmente archivos de contraseñas fáciles de crackear.

Índice de Contenido
  1. El problema con las contraseñas almacenadas localmente en Windows
  2. Desactivando la autenticación LAN Manager en Windows
  3. Implementar la política NoLMHash
  4. Consideraciones finales

El problema con las contraseñas almacenadas localmente en Windows

Por defecto, Windows NT, 2000 y XP almacenan localmente contraseñas en formato LAN Manager (LM) (también conocidas como hashes LANMAN). Sin embargo, LM utiliza un esquema de cifrado débil para almacenar las contraseñas, lo que las hace vulnerables a ataques de hackers.

Estas contraseñas se almacenan en la base de datos Security Account Manager (SAM) de Windows. Además, los clientes tienen la autenticación LAN Manager habilitada de forma predeterminada y los servidores aceptan esta autenticación.

Esto permite que las contraseñas frágiles sean enviadas por la red, lo que hace que la autenticación de Windows sea vulnerable al sniffing de paquetes y reduce el esfuerzo que un atacante debe realizar para crackear las contraseñas de los usuarios.

Desactivando la autenticación LAN Manager en Windows

Para desactivar esta función y asegurar mejor tus estaciones de trabajo, sigue estos pasos:

  1. Ve a Inicio | Ejecutar y escribe "Regedit".
  2. Dirígete a HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA.
  3. Encuentra el valor "LMCompatibilityLevel".

El valor predeterminado de "LMCompatibilityLevel" es 0. Las opciones disponibles son:

Cómo protegerse de las sesiones nulas en Windows 2000 y XP
  • Nivel 0: Envía respuestas LM y respuestas NTLM; nunca utiliza la seguridad de sesión NTLMv2.
  • Nivel 1: Utiliza la seguridad de sesión NTLMv2 si está negociada.
  • Nivel 2: Envía solo autenticación NTLM.
  • Nivel 3: Envía solo autenticación NTLMv2.
  • Nivel 4: Rechaza la autenticación LM.
  • Nivel 5: Rechaza la autenticación LM y NTLM; solo acepta NTLMv2.

Configura el sistema para utilizar solo NTLMv2 y establece el valor REG_DWORD como Nivel 3. Esto obligará a los clientes a enviar solo autenticación NTLMv2.

Establece tus servidores en Nivel 5 y la comunicación entre clientes y servidores estará segura. Puedes obtener información adicional revisando el artículo 147706 de la Base de Conocimientos de Microsoft.

Implementar la política NoLMHash

Después de realizar este cambio, aún necesitarás asegurarte de que los sistemas eliminen los hashes de LM de su base de datos SAM. Para desactivar el almacenamiento de hashes LM de las contraseñas de los usuarios utilizando Active Directory (Windows 2000 Server o Windows Server 2003) y Directiva de Grupo, sigue estos pasos:

  1. En la Directiva de Grupo, expande Configuración del equipo, expande Configuración de Windows, expande Configuración de seguridad y selecciona Directivas locales.
  2. Escoge Opciones de seguridad.
  3. Haz doble clic en Seguridad de la red: No almacenar el valor hash LAN Manager en el próximo cambio de contraseña.
  4. Selecciona Habilitada y haz clic en Aceptar.

Para desactivar el almacenamiento de hashes LM de las contraseñas de los usuarios en la base de datos SAM del equipo local utilizando la Directiva de Grupo Local (Windows XP o Windows 2000), realiza el siguiente cambio de forma local. Sigue estos pasos:

  1. Ve a Inicio | Panel de control.
  2. Haz doble clic en Herramientas administrativas.
  3. Haz doble clic en Directiva de seguridad local.
  4. En el panel izquierdo, expande Directivas locales y selecciona Opciones de seguridad.
  5. Haz doble clic en Seguridad de la red: No almacenar el valor hash LAN Manager en el próximo cambio de contraseña.
  6. Selecciona Habilitada y haz clic en Aceptar.

Ten en cuenta que estos cambios no entrarán en vigor hasta que el usuario cambie su contraseña y Windows genere un nuevo hash. Este es un buen momento para obligar a un cambio de contraseña a nivel de dominio, especialmente para todos los usuarios con privilegios elevados.

Consideraciones finales

Aunque Microsoft propagó esta vulnerabilidad de seguridad para permitir la compatibilidad con clientes heredados de Windows 95/98, es hora de eliminar esta vulnerabilidad predeterminada de tu red.

Cómo habilitar la administración remota en Windows Server 2003

Nota: Editar el registro puede ser arriesgado, así que asegúrate de tener una copia de seguridad verificada antes de comenzar.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Microsoft, allí encontraras muchos artículos similares a Cómo proteger tus contraseñas en Windows y evitar que sean fácilmente hackeadas , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.